Déclaration de Max Schrems un an après l'arrêt "Schrems II" de la Cour de justice de l'Union européenne
Il y a un an, la décision dite "Schrems II" a été qualifiée de révolutionnaire, bien qu'il s'agisse de la deuxième fois que la CJUE déclare illégaux les transferts de données entre l'UE et les États-Unis, sur la base d'une législation européenne qui existe effectivement depuis 1995. Au cours de l'année écoulée, il semble que les parties prenantes se soient principalement livrées à des manœuvres de déflexion et de désignation de coupables, chacun se renvoyant la responsabilité à l'autre.
Seule une fraction des entreprises européennes a réalisé que le conflit sous-jacent entre la protection des données de l'UE et la loi américaine sur la survie ne sera pas résolu à court terme, et s'est orientée vers l'hébergement de données personnelles en Europe, ou dans d'autres régions sûres, au lieu de s'engager dans un cauchemar sans fin de mise en conformité avec la loi américaine. D'autres entreprises européennes se plaignent régulièrement d'un manque de "conseils" malgré deux jugements clairs. Lorsque des orientations sont données, comme les récentes lignes directrices de l'EDPB, beaucoup affirment qu'il est "irréaliste" de suivre les exigences de la loi.
Une flopée d'avocats du secteur et de fournisseurs américains de services de cloud computing ont tenté de combler cette lacune par des directives de type "keep calm and carry on" et ont élaboré des théories juridiques de plus en plus grossières au cours de l'année écoulée. Ces théories vont de l'existence d'une "approche basée sur le risque" (qui n'est pas présente dans la partie concernée du GDPR) à la suggestion de "mesures supplémentaires" non fonctionnelles (comme des clôtures autour des centres de données). Au lieu d'investir dans des systèmes informatiques sécurisés, ces acteurs du secteur privé investissent dans des efforts de relations publiques qui simulent la conformité. Il sera intéressant de voir si les entreprises et les clients de l'UE exigeront des compensations si ces promesses s'avèrent n'être que du vent.
Lesautorités de protection des données se sont largement engagées dans une approche attentiste. À quelques exceptions près, aucune enquête ni décision n'a été prise par les APD jusqu'à présent. Sur les 101 plaintes types que noyb a déposées à la suite de l'arrêt, aucune n'a fait l'objet d'une décision, malgré la création d'un groupe de travail par les APD. La plainte initiale sur Facebook, déposée en 2013, a été retardée par une deuxième enquête inutile de la Commission irlandaise de protection des données, qui a obligé noyb à engager une autre action en justice contre la DPC, qu'elle a réglée en janvier 2021. En ce moment même, nous attendons des décisions prochainement.
La Commission européenne brouille les pistes en publiant de nouveaux outils de transfert, comme les"clauses contractuelles types", qui contournent soigneusement une parole claire sur les transferts entre l'UE et les États-Unis et permettent aux avocats du secteur de continuer à échafauder de nouvelles théories de conformité et d'éviter les solutions à long terme. Dans le même temps, la Commission ne semble pas croire à une solution rapide avec les États-Unis.
Contrairement à son homologue européen, le gouvernement américain est heureux d'annoncer régulièrement de prétendus "progrès" dans les négociations d'un nouvel accord. Cependant, il ne semble pas y avoir de volonté de changer la racine du problème : les lois américaines sur la surveillance qui vont trop loin. À moins que l'industrie américaine ne fasse pression sur Washington pour améliorer les protections des clients étrangers, il est peu probable que les lois de surveillance américaines changent. Lors des conversations que j'ai eues, l'industrie américaine a été plutôt claire : sans la menace d'une application sérieuse dans l'UE ou d'un exode massif des clients européens, l'industrie américaine ne dépensera pas son capital politique à Washington pour lutter en faveur de la protection de la vie privée des étrangers.
La situation se résume indéniablement à un cercle d'acteurs qui font largement du surplace. Le bon côté des choses, c'est que si l'un de ces acteurs commence à bouger, cela peut rapidement provoquer un effet domino vers une solution à long terme.
Selon moi, une solution à long terme ne peut être qu'une forme d'accord "anti-espionnage" entre nations démocratiques qui protège le droit à la vie privée des utilisateurs, indépendamment de leur localisation et de leur citoyenneté. Nous n'y parviendrons peut-être pas dans quelques mois, mais potentiellement dans une décennie, car un internet mondial a besoin de protections mondiales pour fonctionner comme les utilisateurs et les entreprises le souhaitent.
L'équipe noyb et bien d'autres continueront à travailler sur une telle solution à long terme.
Max Schrems
